分享方式:

使用事件時間表來追蹤網路和感應器活動

  • 文章

適用於 IoT 的 Microsoft Defender 感應器偵測到的活動會記錄在事件時間表中。 活動包括警示和警示管理動作、網路事件,以及使用者登入或使用者刪除等使用者作業。

OT 感應器的事件時間表會提供所有網路活動的時間檢視和內容,以協助判斷事件的原因和效果。 時間表檢視可讓您輕鬆地從網路事件擷取資訊,並更有效率地分析網路上觀察到的警示和事件。 透過儲存大量資料的能力,事件時間表檢視對於安全性小組執行調查並深入了解網路活動而言,可能是寶貴的資源。

在調查期間使用事件時間表,以了解並分析攻擊或事件前後發生的一連串事件。 相同時間表上多個安全性相關事件的集中式檢視有助於識別模式和相互關聯,並讓安全性小組能夠快速評估事件的影響並據以回應。

如需詳細資訊,請參閱

權限

執行本文所述的程式之前,請確定您具有 OT 感應器的存取權,做為系統管理員安全性分析師角色。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色

檢視事件時間軸

  1. 登入感應器主控台,然後從左側功能表中選取 [事件時間表]

  2. 視需要檢閱並篩選事件

  3. 選取事件資料列以檢視右側窗格中的事件詳細資料,您也可以篩選以檢視相關裝置的事件。 根據預設開啟使用者作業篩選,您可以選擇視需要隱藏或顯示使用者事件。

    例如:

    Screenshot of events on the event timeline.

您也可以從裝置清查檢視特定裝置的事件時間表。

若要檢視特定裝置的事件時間表

  1. 在感應器主控台中,移至裝置詳細目錄

  2. 選取特定裝置以開啟 [裝置詳細資料] 窗格,然後選取 [檢視完整詳細資料] 以開啟 [裝置屬性] 頁面。

  3. 選取 [事件時間表] 索引標籤來檢視與此裝置相關聯的所有事件,並視需要篩選事件

    例如:

    Screenshot of event timeline tab in device properties page.

篩選時間表上的事件

  1. 在 [事件時間表] 頁面選取 [新增篩選] 以指定顯示的事件。

  2. 選取篩選類型。 使用下列任一選項來篩選顯示的裝置:

    類型 描述
    使用者作業 此篩選預設為開啟,選擇顯示或隱藏使用者作業事件。
    日期 搜尋特定日期範圍中的事件。
    裝置群組 根據群組篩選裝置對應中定義的特定裝置。
    事件嚴重性 顯示 [僅限警示]、[警示和通知] 或 [所有事件]
    排除裝置 搜尋並篩選您想要排除的裝置。
    包括裝置 搜尋並篩選您想要包含的裝置。
    排除事件類型 搜尋並篩選要排除的特定事件類型。
    包括事件類型 搜尋並篩選要包含的特定事件類型。
    關鍵字 依特定關鍵字來篩選事件。

  3. 選取 [套用] 以設定篩選。

將事件時間表匯出至 CSV

您可以將事件時間表匯出至 CSV 檔案,匯出的資料會根據匯出時套用的任何篩選。

匯出事件時間表

在 [事件時間表] 頁面上,從頂端功能表中選取 [匯出],將事件時間表匯出至 CSV 檔案。

建立事件

除了檢視感應器偵測到的事件之外,您也可以手動將事件新增至時間軸。 如果外部系統事件影響您的網路,而且您想要在時間軸上予以記錄,此流程就非常實用。

  1. 在 [事件時間表] 頁面上,選取 [建立事件]

  2. 在 [建立事件] 對話框中,新增下列事件詳細資料:

    • 類型。 指定事件類型 ([資訊]、[通知] 或 [警示])。

    • 時間戳記。 設定時間與日期事件。

    • 裝置。 選取事件應該連接的裝置。

    • 描述。 請提供事件的描述。

  3. 選取 [儲存] 以將事件新增至時間軸。

例如:

Screenshot of creating a new event in the timeline.

事件時間表容量

可以儲存在事件時間表中的資料量取決於各種因素,例如網路大小、事件頻率,以及感應器的儲存容量。 儲存在事件時間表中的資料可以包含網路流量、安全性事件和其他相關資料點的相關資訊。

事件時間表中顯示的事件數目上限取決於感應器安裝期間選取的硬體設定檔。 每個硬體設定檔都有事件的最大容量。 如需每個硬體設定檔事件容量上限的詳細資訊,請參閱 OT 事件時間表保留

下一步

如需詳細資訊,請參閱